Manfred Weitz

Fachtagung „Update-Bundesdatenschutzgesetz“


ZD-Aktuell 2011, 20           Am 11.5.2011 fand in den Räumen der IHK Frankfurt/M. die erste Fachtagung der neuen Tagungsreihe „Update-Bundesdatenschutzgesetz“ statt, die 2012 fortgeführt wird. Details sind abrufbar unter: www.update-bdsg.de. Die eintägige Veranstaltung behandelt in verschiedenen Vorträgen jeweils besonders aktuelle Datenschutzthemen, die in der Fachwelt diskutiert werden. Den organisatorischen Rahmen bildet dabei ein Zusammenwirken von Stellen und Personen aus Verwaltungen und der Privatwirtschaft (Prinzip PPP). Die Kernpunkte der insgesamt sieben Fachvorträge namhafter Referenten am 11.5.2011 werden hier zusammengefasst.

     

1. Webtracking: Google Analytics und Co. datenschutzkonform umsetzen

Referent: RA Stephan Schmidt

 

Jeder, der eine eigene Webseite betreibt, weiß heute, welche technischen Möglichkeiten insbesondere zu Zwecken der Werbung und Marktforschung bereitstehen, um das Verhalten der Nutzer zu analysieren. Die Analyse-Tools speichern dabei in der Regel deren IP-Adressen. Der Internetanschluss des einzelnen Nutzers kann also – zumindest theoretisch – identifiziert werden. Dabei entsteht für den Anwender des Analyse-Tools u.a. das Problem der Haftung.

 

Schmidt ging zunächst auf die Historie des Problemkreises Webtracking-Tools ein. Er spannte den Bogen von der ersten grundsätzlichen datenschutzrechtlichen Bewertung durch das Unabhängige Datenschutzzentrum Kiel (ULD) über einen Beschluss des sog. Düsseldorfer Kreises v. 27.11.2009, die Begutachtungen des Rheinland-Pfälzischen Datenschutzbeauftragten bis hin zur Empfehlung des ULD v. 15.3.2011, als Analyse-Tool „PIWIK“ einzusetzen.

 

Im Weiteren beleuchtete Schmidt das Problem aus dem Blickwinkel des TMG. § 12 Abs. 1 TMG verlangt bei der Erhebung der Nutzerdaten eine bewusste, eindeutige Einwilligung, wenn die Erhebung nicht für Zwecke der Telemedien oder für Abrechnungen nötig ist. Dies gilt – mangels anderweitiger gesetzlicher Grundlagen – auch für die Analyse des Nutzerverhaltens unter Verwendung vollständiger IP-Adressen. Dabei wäre die Einwilligung quasi vor Betreten der Webseite nötig, was aber in der Praxis nicht umsetzbar ist.

 

§ 15 Abs. 3 TMG erlaubt es, pseudonymisierte Nutzerprofile zum Zwecke der Werbung, Marktforschung oder zur Gestaltung von Telemedien zu nutzen. Die Pseudonymisierung verlangt aber, dass die Daten von den übrigen Nutzerdaten getrennt gespeichert werden, was die Bestimmung des Betroffenen wesentlich erschweren soll (vgl. § 3 Abs. 6a BDSG). Der Nutzer muss auf das Recht des Widerspruchs in der Datenschutzerklärung hingewiesen werden und auch tatsächlich widersprechen können. Widersprüche müssen weiterhin umsetzbar sein, Profile dürfen mit dem Träger des Pseudonyms nicht zusammengeführt werden und pseudonymisierte Nutzungsdaten sind zu löschen, wenn die Speicherung nicht mehr erforderlich ist oder verlangt wird.

 

Ein zentrales Rechtsproblem des Referatthemas ist bekanntermaßen die Frage, ob IP-Adressen überhaupt als personenbezogene Daten zu bewerten sind. Dazu beleuchtete Schmidt die inzwischen unterschiedlich ausgeprägten Rechtsmeinungen von Literatur, Rechtsprechung und Kontrollbehörden. Zu erwähnen war dabei vor allem, dass der Tool-Anwender zur Herstellung des Personenbezugs weitere Daten über den Nutzer benötigt, über die er normalerweise nicht verfügt. Allerdings spricht Art. 2 lit. a der RL 95/46/EG auch von der indirekten Identifizierbarkeit.

 

Soweit Tools von Drittanbietern genutzt werden und diese die Daten auf ihren Servern speichern, ist dies als Auftragsdatenverarbeitung anzusehen und die diesbezüglichen Verträge sind nach dem 2009 novellierten § 11 BDSG auszurichten. Des Weiteren müssen die gesetzlichen Vorgaben durch die AGB des Anbieters erfüllt werden. Bei Nichtbeachtung sind Bußgelder bis zu € 50.000,- möglich.

 

Weiter ging Schmidt auf den erwähnten Beschluss des Düsseldorfer Kreises v. 26.11.2009 ein und fasste die dort genannten Zulässigkeitsvoraussetzungen nochmals zusammen. Lösungen sind in folgenden Maßnahmen zu sehen:

 

  • Verkürzung der IP-Adressen,
  • Verbot der Zusammenführung,
  • mit technisch-organisatorischen Mitteln realisierte Sicherstellung der Umsetzung,
  • entsprechende Ausgestaltung von sog. Cookies,
  • Anforderung des Verfahrensverzeichnisses des Dienstleisters,
  • Umsetzung des § 11 BDSG

 

Außerdem begründete der Referent detailliert, warum Google Analytics momentan nicht datenschutzkonform nutzbar ist, wies aber auf verschiedene am Markt erhältliche datenschutzkonforme Produkte hin.

 

Sein Ausblick enthielt Hinweise auf bevorstehende Änderungen von einschlägigen EU-Regelungen, die eindeutigere Lösungen enthalten könnten. Regelungen des Bundes sollten erst nach diesen Vorgaben und eventuellen Selbstregulierungsansätzen der Werbewirtschaft ergehen.

 

2. Aktueller Stand zum Beschäftigtendatenschutz

Referent: Professor Dr. Peter Wedde

 

Im Mittelpunkt des Vortrags von Wedde stand der Gesetzesentwurf zur Änderung des BDSG zu Gunsten eines verbesserten Beschäftigtendatenschutzes, nachdem der Gesetzgeber bereits in der Novelle 2009 für einige Änderungen sorgte. Einleitend ging Wedde auf einschlägige Datenschutzvorfälle ein, die zum Teil in der Arbeitswelt täglich vorkommen, z. B :

 

  • Weil alle eingehenden Mails in einem Betrieb „dienstlich“ seien, verlangt der Arbeitgeber bei dienstlicher Abwesenheit die automatische Weiterleitung der E- Mails an den Vertreter.
  • In einer Vertriebsorganisation werden neu eingeführte Navigationsgeräte über das Mobilfunknetz direkt mit der Firma verbunden. Damit werden dem Arbeitgeber Informationen übermittelt, u.a. über Standorte und Pausen des Arbeitnehmers.
  • Ein von einem großen Unternehmen beauftragtes Anwaltsbüro übermittelt Daten aus betrieblichen E-Mails für einen US-amerikanischen Zivilprozess – ohne Wissen der Beschäftigten – in die USA.
  • Stellenbewerber müssen der ärztlichen Untersuchung inkl. Bluttest zustimmen, ohne eine Handlungsalternative zu bekommen.

 

Ausgangspunkt der weiteren Betrachtungen war der mit der Novelle 2009 neu eingeführte § 32 BDSG. In der Praxis blieben danach viele Fragen ungelöst. Beispiele: Das „Googlen“ von Bewerberdaten (d.h. die Datenerhebung mittels Suchmaschinen), Umgang mit Arbeitnehmerdaten in Konzernstrukturen, Video-Überwachung, Umgang mit freiwilligen Einwilligungen.

 

Es folgte eine nähere Betrachtung der mit dem Gesetzesentwurf neu vorgesehenen § 32-32l BDSG, die für alle offenen Fragen eine Antwort bringen sollen. Die Ziele der „Novelle 2011“ sollen insbesondere sein: höhere Rechtssicherheit für Arbeitgeber und Arbeitnehmer, Schutz der Arbeitnehmer vor unrechtmäßiger Datenverarbeitung unter Beachtung des Informationsinteresses des Arbeitgebers, Förderung eines vertrauensvollen Arbeitsklimas. Den Ausführungen schloss  sich eine differenzierte  Bewertung der Novelle 2011 an.

 

Positiv sei zu sehen, dass nun ein umfassendes Regelwerk für den Beschäftigtendatenschutz vorliege. Die Novelle würde Probleme aus der Praxis behandeln, wenn auch nicht immer mit guten Regelungen. Negativ zu erwähnen sei, dass die Regelungen in dem gewünschtem Maße weder übersichtlich noch leicht verständlich seien; es würden keine klaren Handlungsmöglichkeiten und –grenzen begründet, viele aktuelle Probleme würden nicht gelöst. Insoweit ist auch der Schutzeffekt für die Beschäftigten gering.

 

Wedde beleuchtete im Folgenden die praktischen Folgen einzelner zentraler Vorschriften. So erwähnt zwar § 32 Abs. 1 Satz 2 des BDSG-Entwurfs die Zulässigkeit der Erhebung weiterer „erforderlicher Daten“, ohne aber echte Grenzen für die Datenerhebung in der Bewerbungsphase aufzuzeigen. Die Grunddaten, die Arbeitgeber in dieser Phase bei Bewerbern erheben dürfen, werden nicht begrenzt. Das „Googlen“ der Bewerberdaten wird – nach vorherigem Hinweis an die Bewerber, z.B. in Stellenangeboten – erlaubt. Damit werden unkontrollierbare Datenrecherchen möglich.

 

Die Einwilligung der Beschäftigten wurde wie folgt bewertet: In Abweichung von § 4 Abs. 1 BDSG sieht § 32l BDSG–E vor, dass Einwilligungen von Beschäftigten nur zugelassen sind, wenn dies durch einschlägige Regelungen des BDSG ausdrücklich erlaubt ist. Erlaubnistatbestände finden sich derzeit in den §§ 32 Abs. 6, 32a Abs. 1, 32b Abs. 3, 32h Abs. 1, 32i Abs. 2 BDSG-E.

 

Fazit: Die Novelle führt eindeutig nicht zu einer Erhöhung des Schutzes der Beschäftigten. Erweitert werden hingegen die Verarbeitungsmöglichkeiten durch Arbeitgeber. Ihnen werden bis hin zur „heimlichen“ Datenerhebung neue Handlungsmöglichkeiten eingeräumt. Die neue gesetzliche Regelung schafft aus betrieblicher Sicht zahlreiche neue Auslegungsprobleme und Unklarheiten. Damit sind zahlreiche arbeitsrechtliche Streitigkeiten in den nächsten Jahren vorprogrammiert.

 

3. Spionage in Unternehmen: Aktuelle Bedrohungen und Szenarien

Referent: Wilfried Karden

 

Allein die Fülle der Fakten, Zahlen und Statistiken, die Karden zum Vortragsthema mitbrachte, war beeindruckend und zugleich beängstigend. In Nordrhein-Westfalen sind schon 2007 bei 35,1% der Unternehmen – grob hochgerechnet wären das 217.000 – Verdachtsfälle der Wirtschaftsspionage aufgetreten. Die Schäden der Spionage verteilen sich mit 57,6% auf mittelständische, mit 38,5% auf kleinere Unternehmen und mit 3,9% auf Konzerne.

 

Zunächst machte Karden deutlich, dass es keinen Schutz bietet, bestimmte Länder an den Pranger zu stellen. Vielmehr ist die Kenntnis der Methoden wesentlich, um Spionageangriffe erfolgreich abzuwehren. Er beleuchtete hierzu die häufigsten Abhörtechniken aus dem Internet.

 

Anschaulich stellte Karden dar, wie verschlungen der globale Weg von Hackerangriffen auf deutsche Unternehmen aus anderen Ländern erfolgte und weiter erfolgen wird. Übliche Schutzmaßnahmen wie Virenschutzprogramme und Firewalls reichen laut dem aktuellen BSI-Lagebericht keinesfalls mehr als wirksamer Schutz aus. Differenzierte, ausgeklügelte Schutzkonzepte sind in jedem gefährdeten Unternehmen das Gebot der Stunde. Innerhalb der drei Eckpunkte – Awareness, Organisation und Technik – muss sich in jedem gefährdeten Betrieb ein Netz von präventiven Einzelmaßnahmen etablieren. Tiefe und Intensität des Schutzkonzepts müssen vor allem ausgerichtet werden auf die Klärung der Frage: Welche Angreifer erwarten Sie? Nur so kann ein angemessenes Schutzkonzept erarbeitet werden, durch das Angriffe frühzeitig erkannt und Schäden minimiert werden.

 

Weitergehende Informationen sind abrufbar unter: www.mik.nrw.de/wirtschaftsspionage.

 

4. Die Zukunft des Datenschutzes

Referent: Dr. Stefan Brink

 

Mit der Novellierung des BDSG 2009 und der angelaufenen Umstrukturierung der Aufsichtsbehörden in Bund und Ländern, bedingt durch die bekannte Rechtsprechung des EuGH, befindet sich der deutsche Datenschutz in einem tiefgreifenden Umbruch. Brink wagte mit insgesamt 5 Thesen einen Blick in die Zukunft.

 

  • Vom Datenschutz zum Persönlichkeitsschutz

Stand bisher vor allem die Kontrolle automatisierter Datenverarbeitung im Fokus der Aufsichtsbehörden und des Gesetzgebers, wird nun ein umfassender Persönlichkeitsschutz immer wichtiger. Dabei ging Brink auf § 32 Abs. 1 Satz 3 und Abs. 2 BDSG sowie Art. 5, 12, 14 GG ein. Sie sind als Grundlage komplexer Schutzbereichsabgrenzungen zu sehen, der Datenschutz wird noch stärker verrechtlicht.

 

  • Von der Einwilligung zur Information:

Bisher war als rechtliche Zulässigkeitsvoraussetzung der Datenverarbeitung neben der Erfüllung zahlreicher allgemeiner oder besonderer normativer Grundlagen die informierte Einwilligung des Betroffenen eine in der Praxis sehr wichtige Variante. Umfang, Tiefe und Komplexität der unterschiedlichsten datenschutzrechtlichen Belastungen des Bürgers im Wirtschaftsleben führten nun zum Wandel von der Einwilligung des Bürgers zur zustimmungsfähigen Information, über die Art und Weise der datenschutzrechtlichen Risiken des Bürgers. Ergänzt wird dies durch Einwilligungsfiktionen, etwa durch AGB, konkludente Einwilligungen und Einwilligungsausschlüsse. Im kollektiven Arbeitrecht kommt der Einwilligungsersatz dazu. Das kritisch zu sehende Ergebnis dieses Prozesses ist: Das Individualgrundrecht wird abgenutzt.

 

  • Von der verantwortlichen Stelle zum Web 2.0:

Hier ging Brink genauer auf den Begriff der verantwortlichen Stelle nach § 3 Abs. 7 BDSG ein. Die immer stärkere Einbindung des Web 2.0 in datenschutzrechtlich relevante Prozesse der Datenverarbeitung des Wirtschaftslebens führt dazu, dass sich die Rolle der verantwortlichen Stelle immer schwerer feststellen lässt („unverantwortliche Stelle“); auch die gleichzeitige, aktive Beteiligung des Bürgers an der Nutzung des Web 2.0 fördert diesen Prozess.

 

  • Von der Aufsicht zur Beratung:

Der staatliche Datenschutz wird neu ausgerichtet. Der Arbeitsschwerpunkt der Aufsichtsbehörden wird in den nicht-öffentlichen Bereich verschoben, auch gefördert durch die erhofften Synergie-Effekte bei der organisatorischen Zusammenlegung der staatlichen Kontrollinstanzen. Diese erhalten eine Garantie der Unabhängigkeit von politischen Einflüssen und damit eine deutliche institutionelle Stärkung. Eine besondere Bedeutung erhält dabei – neben der präventiven, punktuell auch repressiven Tätigkeit – die Beratung der Datenverarbeiter bzw. deren betrieblichen Datenschutzbeauftragten.

 

  • Von der Anbieter- zur Nutzerorientierung:

Hier stellte Brink heraus, dass der Datenschutz bisher eher durch eine Anbieterorientierung geprägt war. Der Datenschutz ist auch stärker als Verbraucherschutz zu sehen. Dabei soll sich der Verbraucher die Möglichkeiten des Selbstschutzes bewusster machen. Wesentlicher Teil ist dabei die auch politisch-gesellschaftlich zu sehende Aufgabe des Datenschutzes als Bildungsaufgabe, insbesondere in den Schulen. Der Datenschutz als Zukunftsaufgabe hat den Wandel vom bürokratischen, minimalistischen Ansatz zur qualifizierten, vernetzten, offensiven Tätigkeit begonnen.

 

5. Datenschutzkonformes Cloud Computing und SaaS

Referent: Jürgen Hartz

 

Zunächst ging Hartz auf die vorab zu prüfende Frage ein, welche Formen von Clouds existieren: eine private, eine öffentliche oder die Hybridform. Es folgte eine Erläuterung der einzelnen Unterschiede. Die weitere Betrachtung widmete sich der Frage, welche Infrastrukturen die einzelnen Formen der Cloud besitzen. Zu unterscheiden sind hier:

 

  • IaaS (Infrastructure as a Service): Hier können grundlegende Dienste inkl. lokaler Rechner/Netzwerke denkbar sein.
  • PaaS (Platform as a Service): Hier ist u.a. an das Überlassen von Entwicklungsplattformen zu denken. 
  • Saas (Software as a Service): Hier wird an Nutzungen als Applikationen oder Anwendungsservices gedacht. 

 

Im Folgenden ging Hartz detailliert ein auf die Vorteile des Cloud Computing einschließlich der diesbezüglichen Versprechungen der Anbieter: IT-Leistungen werden schneller realisierbar, nutzungsabhängiger und kostengünstiger; Kosten können also verlagert werden. Dienste und Anwendungen werden globaler; eine Skalierbarkeit tritt ein, verbunden mit hoher Professionalität und Sicherheit.

 

Ist der Datenschutz hier nun Verhinderer von Innovationen und Kostentreiber? Hartz führte nun in die nüchterne rechtliche Betrachtung, die Datenschutzregeln erzwingen, ein: Geht es um personenbezogene Daten, gilt zunächst das BDSG, soweit die Privatwirtschaft agiert. Hier wäre § 11 BDSG für die Auftragsdatenverarbeitung relevant, die zumeist mit den Cloud-Services verbunden ist. Die Anwendung der §§ 33-35 BDSG führt dabei zu höherer Transparenz, Information und Kontrolle.

 

Im Mittelpunkt der weiteren Ausführungen standen die praktischen Folgen bei den Varianten Auftragsdatenverarbeitung und Funktionsübertragung. Bei der Auftragsdatenverarbeitung erläuterte Hartz nach den Vorgaben des § 11 BDSG einen 10-Punkte-Katalog. Bei der Funktionsübertragung ging er näher auf die Probleme der Mitverantwortung des Cloud-Providers und die Fälle der Einschaltung mehrfacher Subunternehmer ein. Vertragsrechtlich sind insbesondere zu prüfen: Sitzland der Beteiligten und die Aspekte besonderer Vertraulichkeit der Daten bzw. Geheimschutz. Bei den zu prüfenden Sicherheitstandards definierte Hartz die Aspekte, die sich aus den einzelnen BDSG-Regelungen ergeben. Dabei standen naturgemäß die Garantie ständiger Verfügbarkeit der Dienste und Daten und die allgemeine Datensicherheit im Mittelpunkt.

 

Seine abschließenden Empfehlungen für die Praxis fasste Hartz in einem längeren Prüfkatalog zusammen, der alle rechtlich zu prüfenden Fragen des Cloud Computing beinhaltete. Den Abschluss seines Vortrags widmete er der Frage, welche Folgerungen aus den zahlreichen Problemen des Cloud Computing zu ziehen sind; zu erwähnen ist hier, dass die EU-Regelungen auf dieses Geschäftsfeld konkreter eingehen müssen und Cloud Computing außerhalb der EU/EWU zu meiden ist.

 

6. Hat die BDSG-Novelle 2009 den Datenschutz vorangebracht?

Referent: Günther Dorn

 

Im ersten Teil seines Vortrags gab Dorn einen Überblick über einige wesentliche Neuregelungen: allgemeine Zulässigkeitsregeln sind nun strenger gefasst, wie § 3a (Datenvermeidung und Datensparsamkeit), § 28 Abs. 3-4 (persönliche Werbung) und § 30a (Markt- und Meinungsforschung). Gesetzliche Klarstellungen gibt es nun zu § 28a (Auskunft an Auskunfteien), § 28b (Scoring) und § 32 (Beschäftigtendatenschutz). Neue formale Rahmenbedingungen gelten für die Auftragsdatenverarbeitung (§ 11 Abs. 2) und neu ist auch die Informationspflicht bei Datenpannen (§ 42a). Der betriebliche Datenschutzbeauftragte erhielt einen stärkeren Kündigungsschutz (§ 4f Abs. 3), die Datenschutzbehörden gewannen mehr Befugnisse (§ 38 Abs. 5) und die Bußgeldbestände wurden erweitert (§ 43).

 

Im zweiten Teil des Vortrags ging Dorn detaillierter auf die Erweiterung der Befugnisse der Datenschutzaufsichtsbehörden ein: „Der Tiger hat nun endlich Zähne bekommen.“ Mit der Neufassung des § 38 Abs. 5 Satz 1 kann die Aufsichtsbehörde nun Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder zur Beseitigung technischer oder organisatorischer Mängel anordnen. § 38 Abs. 5 Satz 2 erlaubt bei schwerwiegenden Verstößen und Mängeln –insbesondere bei einer besonderen Gefährdung des Persönlichkeitsrechts – die Untersagung der Erhebung, Verarbeitung oder Nutzung oder einzelner Verfahren, wenn die Verstöße oder Mängel entgegen der Anordnung nach Satz 1 und trotz der Verhängung eines Zwangsgelds nicht in angemessener Zeit beseitigt wurden. Formal sind diese neuen Maßnahmen sog. Verwaltungsakte, die mit Kostenpflichten der Adressaten verbunden sind und auch mit Verwaltungszwang durchsetzbar werden. Der Verwaltungsrechtsweg ist damit eröffnet.

 

Sein Fazit: Die Aufsichtsbehörden können nun auf festgestellte Mängel flexibler und direkter reagieren, gerichtliche Entscheidungen sind möglich. Allein das Vorhandensein dieser Befugnisse wirkt sich auf das Verhalten der verantwortlichen Stellen, bei denen Verstöße festgestellt werden, aus.

 

Im dritten Teil lenkte Dorn den Blick auf die neu eingeführte Pflicht zur Selbstanzeige bei der unrechtmäßigen Kenntniserlangung von bestimmten personenbezogenen Daten durch Dritte, wenn schwerwiegende Beeinträchtigungen des Betroffenen drohen, § 42a. Der Datenverarbeiter muss die zuständige Datenschutzaufsichtsbehörde und zugleich den Betroffenen informieren. Die Ziele der Vorschrift sind Transparenz und Schutz für den Betroffenen, Prüfung von angemessenen Reaktionen der Datenschutzbehörden und Prävention. Die weiteren Folgen für den Datenverarbeiter, der diesen Verpflichtungen nicht nachkommt, können gravierend sein: Die Aufsichtsbehörde kann mit Beanstandungen, Bußgeldverfahren oder sogar Strafverfahren reagieren.

 

 

7. Auftragsdatenverarbeitung nach der BDSG-Novelle

Referent: RA Ulf Neumann, LL.M.

 

Zunächst verschaffte Neumann den Zuhörern einen Überblick über die gesetzlichen Änderungen des Jahres 2009 zum Thema Auftragsdatenverarbeitung. Dabei stand § 11 BDSG im Mittelpunkt.

 

Neumann schilderte weiter die bisherigen praktischen Erfahrungen mit § 11 BDSG: Die Zahl der schriftlich abgefassten Verträge bei der Auftragsdatenverarbeitung hat deutlich zugenommen; dabei basieren sie zum großen Teil auf den im Internet frei verfügbaren Musterverträgen, ob nun vom BITKOM, der GDD oder vom Regierungspräsidium Darmstadt. Die gesetzlichen Änderungen führten aber auch zu weitergehenden Fragen: Wie umfassend müssen die technisch-organisatorischen Schutzmaßnahmen vereinbart werden? Wie ist der Auftragnehmer zu kontrollieren und wie ist dies zu dokumentieren? Zu hoffen ist, dass mit der vorgesehenen Stiftung Datenschutz nun auch das Datenschutzaudit nach § 9a BDSG umgesetzt und so eine gesetzlich verankerte, für den Auftraggeber verlässliche Kontrollmöglichkeit des Auftragnehmers geschaffen wird.

 

Vor-Ort-Kontrollen erfolgen bisher eher selten, am ehesten durch große Unternehmen mit betrieblichen Datenschutzbeauftragten, denen auch ein entsprechendes Zeitbudget zur Verfügung steht. Häufig wird anstelle einer Vor-Ort-Kontrolle eine schriftliche Bestätigung des Datenschutzbeauftragten gefordert, der bestätigen soll, dass die technischen und organisatorischen Maßnahmen auch tatsächlich eingehalten werden. Als Faustregel für Auftraggeber kann gelten: Je höher der Schutzbedarf der betroffenen Daten, desto detaillierter sollten die vertraglichen Regeln und umso genauer die Kontrollen sein. Für die Schutzbedarfsfeststellung kann z.B. auf den BSI–Standard 100-2 zurückgegriffen werden.

 

Ein weiteres zentrales Thema des Vortrags war die oft schwierige Abgrenzung der Auftragsdatenverarbeitung zur sog. Funktionsübertragung. Diese Abgrenzung ist aber nur dann sinnvoll, wenn vorab die jeweiligen Zulässigkeitsvoraussetzungen und Rechtsfolgen geklärt sind. Eine Funktionsübertragung stellt immer eine Datenübermittlung i.S.d. § 3 Abs. 4 Nr. 3 BDSG dar. Soll diese nicht auf der Basis einer Einwilligung des Kunden erfolgen, würde bei Anwendung des § 28 Abs. 1 Satz 1 Nr. 2 BDSG eine Abwägung der Interessen der verantwortlichen Stelle und des Betroffenen stattfinden müssen. Dessen Interesse kann insbesondere dadurch gewahrt werden, dass mit dem Auftragnehmer ausreichende Schutzmaßnahmen vereinbart werden, deren Umsetzung kontrolliert wird, analog § 11 BDSG. Damit verliert die Abgrenzungsproblematik etwas an Schärfe.

 

Anschließend ging Neumann auf die Regelungen für Konzerne ein. Das deutsche Datenschutzrecht kennt kein Konzernprivileg. Die Weitergabe von Daten innerhalb der EU/des EWR wird auf Grund der einheitlichen EU-Regelungen wie eine Weitergabe innerhalb Deutschlands behandelt. Wird ein Auftragnehmer außerhalb der EU/des EWR eingeschaltet, muss geprüft werden, ob beim Empfänger ein angemessenes Datenschutzniveau gegeben ist. Dieses kann durch Beschluss der EU-Kommission festgestellt sein, bei US-Unternehmen durch Selbstverpflichtung zur Einhaltung der Safe-Harbor-Prinzipien, durch vertragliche Vereinbarung der EU-Standardverträge und für internationale Konzerne auch durch von der Aufsichtsbehörde zu prüfende Konzernregelungen erreicht werden.

 

Abschließend wies Neumann darauf hin, dass die EU-Standardverträge wegen des novellierten § 11 BDSG zu ergänzen sind, hierzu existieren Vorschläge der Arbeitsgruppe Internationaler Datentransfer des Düsseldorfer Kreises.

 

Manfred Weitz ist ehemaliger Mitarbeiter des Hessischen Datenschutzbeauftragten in Wiesbaden.